软件破解补丁隐藏窃密木马，毒害全球数百万网民

小奇瑰

软件破解补丁隐藏窃密木马，毒害全球数百万网民

本文作者：腾讯电脑管家， 本文转载自：FreeBuf.COM

一、背景

腾讯安全威胁情报中检测到大量用户感染CracxStealer窃密木马，追踪病毒来源发现源于境外某个软件破解补丁下载站（cracx[.]com）。该网站提供下载的平面设计、媒体编辑、Office、大型游戏、系统工具等商业软件破解补丁包内已植入窃密木马，木马运行后会窃取用户浏览器保存的帐号密码、数字加密币的钱包帐号以及其他机密信息，腾讯电脑管家及腾讯T-Sec终端安全管理系统均可查杀该病毒。

根据CracxStealer窃密木马运营者的页面统计数据，该网站单个破解补丁下载次数超过8万次，而该网站提供的常用软件（包括许多大型商业软件）破解补丁有数百种之多，全球受害者可能数百万计。腾讯安全已对该恶意网站进行全站拦截：

CracxStealer窃密木马安装后会搜集各类浏览器的配置文件、数据库、Cookie中保存的账号密码，搜集门罗币、以太币等多种数字加密货币的客户端软件中保存的钱包账号信息，以及获取电脑IP定位、操作系统版本、硬件和软件信息，桌面截屏，然后将所有搜集的敏感信息打包发送至黑客控制的服务器。因病毒的传播网站为cracx[.]com，腾讯安全威胁情报中心将其命名为“CracxStealer窃密木马”。

二、样本分析

我们选择该站提供的一个大型商业软件破解补丁为例进行分析：

CorelDRAW Graphics Suite是一款主要用于设计图形图像的工具，在平面设计行业为设计师们服务的一款功能强大齐全的软件。其官方网站显示，付费使用版本每年费用为399美元，约2600元/年。

网民一般会先从官网下载一个试用版安装，然后在网上搜索注册码或者下载破解工具进行激活。此次感染病毒的用户通过搜索引擎找到网站https[:]//cracx.com并下载了激活程序CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip，下载页面显示该程序已有超过8万次的下载。

该病毒下载站还会在下载页面标明该破解补丁已通过avast、小红伞、卡巴斯基、迈克菲、诺顿等多家国外知名杀毒软件认证，套路和国内某些病毒下载站完全一致。点击“Download Setup + Crack”按钮后，会依次经过以下URL跳转，并最终通过https[:]//filedl7.ga下载文件。

https[:]//cracx.com/coreldraw-graphics-suite-2017-full/

https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack   License Key {Latest}

https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/ （路径随机生成）

https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/ （路径随机生成）

下载得到压缩包CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip Md5: 0083D7942C28E7A252DEA391607917A5，解压后包含以下文件。

使用(P@$$ izz) 44556677.txt中提示的密码44556677对setup_installer.zip进行解压，可以得到NSIS打包的安装包程序setup_installer.exe。

setup_installer.exe是病毒母体，首先通过插件UserInfo.dll获取当前进程用户账户，如果不是Admin，则利用UAC.dll提升到管理员权限。

然后释放窃密木马11.exe、rokger.exe到"$PROGRAMFILES\Lertok\lop\vaw\”目录下并启动，还会执行脚本11.vbs，在其中通过Get请求短链接https[:]//iplogger.org/1yzUq7，短链接在不同的样本中会有所不同，由于目前访问都返回失败，所以暂不清楚此网络请求的目的。

窃密木马部分代码添加了VMP壳进行保护。

窃密木马从浏览器配置文件、数据库文件、Cookie中获取登陆账号密码，支持国内外多款浏览器包括Chrome、Comodo Dragon、Opera、Chromium、CocCoc、360_extreme_explorer 、torch、slimjet、cent_browser、brave 、vivaldi 、ccleaner_browser、avast_secure_browser、Firefox。

搜集门罗币、以太币等数字加密货币的相关客户端软件中保存的钱包信息。

查询本机IP、IP所属位置、运营商属性等信息保存至随机名txt文件，以及操作系统版本、语言环境、当地时间、用户名、CPU、内存、显卡、安装软件列表信息保存至system_info.txt。

拍摄屏幕截图并保存为screenshot.jpg。

将搜集到的所有信息打包为随机名zip压缩包文件，存放至ProgramData目录下。

最后将压缩包数据通过POST发送至远程服务器http[:]//mdpoter03.top/index.php

IOCs

Domain

mdpoter03.top

urep03.top

saytt03.top

URL

https[:]//cracx.com/coreldraw-graphics-suite-2017-full/

https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack   License Key {Latest}

https[:]//filedl7.ga/jojo-7eaff951136ba916dedc5d52e1861ebd/

https[:]//filedl7.ga/jojo-4207bef9a1449f5c81eb755c5a9fe516/

https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/

https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/

https[:]//downtech.info/fs-537babb385850dc869fd9bda590d62d5/

http[:]//mdpoter03.top/index.php

http[:]//urep03.top/index.php

http[:]//saytt03.top/index.php

https[:]//iplogger.org/1yzUq7

md5

Any-Video-Converter-Ultimate-6.2.6-Patch-1594260775.zip 52f9748dcef89359bcef1d3e5f2bfd38

RescuePRO-Deluxe-6.0.2.2-Full-Crack-1594260534.zip

7ed9a320c44d119e3d596efa218deab8

ProShow-Producer-9.0.3797-License-Key---Patch-{2020}-Free-Download-1594193035.zip

b366c329bcf624214bdfc23d7bedcb78

CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip

0083d7942c28e7a252dea391607917a5

installer_setup.exe	45ec40f05b5df3e21b6aad950da23bb1
installer_setup.exe	c5e4d08164364790eca5b3e8cf64ff79
installer_setup.exe	ada1ffc753347613cee9bcddac9763a1
installer_setup.exe	29bd44a4ed92568ddf67327ece8ace17
9.exe	d7997aeb03bfa17ae03e6ee85a5afadd
9.exe	e4c1146393fe67ccbb4789eba8db6b31
09.exe	18f235a24f4a7cfd2d0a5db61aac5921
caram.exe	ad8f303e25c56bc0b2c9a36c0ee37a3e
011.exe	b01ea80301d452d6b1337fce7cae4a40
11.exe	59cab6695a858e586be0dc0c3c781f6c
rokger.exe	a73ba165224417ec58fa88158dad6026
010.exe	c3e3127dd3185af88d40aa019c196694
10.exe	3bdef68d720360f362cdeec0463c282a
mertol.exe	8d5135bde449bc826b415043a03ebcce
11.vbs	2ecc0c2e30c22359b0f3e20df9b3af65
10.vbs	6ee3b4ca9f4e22a0d2b5bfbb20b1b322
9.vbs	732d3599f7f4aac60f9d08e487e62bf5

ljchtz

纯粹路过，没任何兴趣，仅仅是看在老用户份上回复一下

人生难得1

谢谢分享，下载下来试试，希望一切好用

a87118785

能不能用

人生难得1

不错 支持一个了

慕旋7341

非常好，顶一下

墨8521

为了三千积分！

厍6932

新人看看怎么样

love22

路过的帮顶